身份验证和授权分别用于验证身份和对资源的访问权限。本文档简要介绍了 Google Meet REST API 请求的身份验证和授权工作原理。
本指南介绍了如何将 OAuth 2.0 与用户的 Google 凭据搭配使用,以访问 Meet REST API。使用用户凭据进行身份验证和授权后,Meet 应用便可访问用户数据,并代表经过身份验证的用户执行操作。通过代表用户进行身份验证,应用可以获得与该用户相同的权限,并且可以执行的操作就如同由该用户执行一样。
重要术语
以下是与身份验证和授权相关的术语列表:
- Authentication
确保主账号(可以是用户)的行为
或应用代表用户行事,这与用户宣称的身份相符。编写 Google Workspace 应用时,您应了解以下类型的身份验证:用户身份验证和应用身份验证。对于 Meet REST API,您只能使用用户身份验证进行身份验证。
- 授权
主账号必须拥有的访问权限或“权限”
数据或执行操作。授权是通过您在应用中编写的代码完成的。此代码会告知用户应用希望代表用户执行操作,并在获得许可后使用应用的唯一凭据从 Google 获取访问令牌,以访问数据或执行操作。
符合 REST API 范围
授权范围是指您请求用户授予您的应用访问会议内容的权限。当用户安装您的应用时,系统会要求用户验证这些作用域。通常情况下,您应尽可能选择最窄的范围,并避免请求应用不需要的范围。用户更乐意向描述清晰的有限范围授予访问权限。
Meet REST API 支持以下 OAuth 2.0 范围:
| 范围代码 | 说明 | 用法 |
|---|---|---|
https://www.googleapis.com/auth/meetings.space.readonly |
允许应用读取用户有权访问的任何会议室的元数据。 | 敏感内容 |
https://www.googleapis.com/auth/meetings.space.created |
允许应用创建、修改和读取与您的应用创建的会议室相关的元数据。 | 敏感内容 |
https://www.googleapis.com/auth/drive.readonly |
允许应用通过 Google Drive API 下载录音和转写文件。 | 受限 |
以下与 Meet 相关的 OAuth 2.0 范围在 Google 云端硬盘 API 范围列表中:
| 范围代码 | 说明 | 用法 |
|---|---|---|
https://www.googleapis.com/auth/drive.meet.readonly |
查看通过 Google Meet 创建或修改的云端硬盘文件。 | 受限 |
表格中的“使用情况”列会根据以下定义指示每个范围的敏感性:
敏感:这些范围可访问用户为您的应用授权的特定 Google 用户数据。您需要完成额外的应用验证。如需了解此要求,请参阅敏感和受限范围要求。
受限:这些范围可提供对 Google 用户数据的广泛访问权限,并且需要您完成受限范围验证流程。如需了解此要求,请参阅 Google API 服务用户数据政策和针对特定 API 范围的其他要求。如果您将受限范围数据存储在服务器上(或传输),则必须接受安全评估。
如果您的应用需要访问任何其他 Google API,您也可以添加这些镜重。如需详细了解 Google API 范围,请参阅使用 OAuth 2.0 访问 Google API。
如需指定向用户显示哪些信息,请参阅配置 OAuth 权限请求页面并选择范围。
如需详细了解特定 OAuth 2.0 范围,请参阅适用于 Google API 的 OAuth 2.0 范围。
使用全网域授权来进行身份验证和授权
如果您是网域管理员,则可以授予全网域授权,以便授权应用的服务账号访问您用户的数据,而无需经过每位用户的同意。配置全网域委托后,服务账号可以模拟用户账号。虽然服务账号用于身份验证,但全网域授权会冒充用户,因此被视为用户身份验证。任何需要用户身份验证的功能都可以使用全网域授权。
相关主题
如需大致了解 Google Workspace 中的身份验证和授权,请参阅了解身份验证和授权。
如需大致了解 Google Cloud 中的身份验证和授权,请参阅 Google 的身份验证方法。